הגנה על מאגרי מידע ב-service perimeter

VPC Service Controls משפר את היכולת שלכם לצמצם את הסיכון להעתקה או להעברה לא מורשות של נתונים משירותים שמנוהלים על ידי Google Cloud.

בעזרת VPC Service Controls אפשר להגדיר גבולות גזרה לאבטחה מסביב למשאבים של השירותים המנוהלים של Google Cloudולשלוט בתנועת הנתונים מעבר לגבולות הגזרה.

שימוש ב-Artifact Registry עם VPC Service Controls

אם אתם משתמשים ב-Artifact Registry ובאשכולות פרטיים של Google Kubernetes Engine בפרויקט שנמצא בתוך גבולות גזרה לשירות, אתם יכולים לגשת לתמונות של קונטיינרים בתוך גבולות גזרה לשירות וגם לתמונות שסופקו על ידיGoogle Cloud.

תמונות Docker Hub שמורות במטמון ומאוחסנות ב-mirror.gcr.io לא נכללות בגבולות גזרה לשירות, אלא אם נוסף כלל יציאה שמאפשר יציאה למטמון Docker של Artifact Registry שמארח את mirror.gcr.io.

כדי להשתמש ב-mirror.gcr.io בתוך היקף שירות, מוסיפים את כלל היציאה הבא:

- egressTo:
    operations:
    - serviceName: artifactregistry.googleapis.com
      methodSelectors:
      - method: artifactregistry.googleapis.com/DockerRead
    resources:
    - projects/342927644502
  egressFrom:
    identityType: ANY_IDENTITY

מידע נוסף על כללים לתעבורת נתונים נכנסת (ingress) ויוצאת (egress) זמין במאמר כללים לתעבורת נתונים נכנסת ויוצאת.

אפשר לגשת אל Artifact Registry באמצעות כתובות ה-IP של הדומיינים של ממשקי ה-API והשירותים של Google שמוגדרים כברירת מחדל, או באמצעות כתובות ה-IP המיוחדות האלה:

  • 199.36.153.4/30 (restricted.googleapis.com)
  • 199.36.153.8/30 (private.googleapis.com)

פרטים על האפשרויות האלה זמינים במאמר הגדרת גישה פרטית ל-Google. דוגמה לתצורה שמשתמשת ב-199.36.153.4/30 (restricted.googleapis.com) מופיעה במאמר בנושא גישה למאגר עם כתובת IP וירטואלית.

חשוב לוודא שגם שירותים שזקוקים לגישה ל-Artifact Registry נמצאים בגבולות גזרה לשירות, כולל Binary Authorization,‏ Artifact Analysis וסביבות זמן ריצה כמו Google Kubernetes Engine ו-Cloud Run. Google Cloud לפרטים על כל שירות, אפשר לעיין ברשימת השירותים הנתמכים.

הוראות כלליות להוספת Artifact Registry לגבול גזרה לשירות מפורטות במאמר יצירת גבול גזרה לשירות.

גישה לתמונות במאגרי gcr.io

כדי לגשת לתמונות במאגרי gcr.io Artifact Registry, כשמגדירים מדיניות כניסה או יציאה, צריך להשתמש בסוג הזהות ANY_IDENTITY. אי אפשר להשתמש בסוגי הזהויות ANY_SERVICE_ACCOUNT או ANY_USER_ACCOUNT לתמונות בדומיין gcr.io.

שימוש ב-Artifact Analysis עם VPC Service Controls

כדי ללמוד איך להוסיף את Artifact Analysis לגבולות הגזרה שלכם, אפשר לעיין במאמר בנושא הגנה על Artifact Analysis בגבולות גזרה לשירות.